Een pro-Hamas-dreigingsacteur, bekend als Cyberbende uit Gaza richt zich op Palestijnse entiteiten met behulp van een bijgewerkte versie van een achterdeur genaamd Pierogi.
De bevindingen zijn afkomstig van SentinelOne, die de malware de naam Pierogi++ heeft gegeven vanwege het feit dat deze is geïmplementeerd in de programmeertaal C++, in tegenstelling tot zijn op Delphi en Pascal gebaseerde voorganger.
“Recente Cybergang-activiteiten in Gaza laten consistente doelwitten zien van Palestijnse entiteiten, zonder waargenomen significante veranderingen in de dynamiek sinds het begin van de oorlog tussen Israël en Hamas”, zei veiligheidsonderzoeker Aleksandar Milenkoski in een rapport gedeeld met The Hacker News.
Gaza Cyber Gang, vermoedelijk al sinds 2012 actief, heeft een geschiedenis van aanvallen op doelwitten in het hele Midden-Oosten, met name Israël en Palestina, waarbij vaak gebruik wordt gemaakt van spearphishing als methode voor initiële toegang.
Enkele van de opmerkelijke malwarefamilies in het arsenaal zijn onder meer BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy en XtremeRAT.
Er wordt aangenomen dat de dreigingsactor een samenstelling is van verschillende subgroepen die overlappende slachtofferpraktijken en malware delen, zoals Molerats, Arid Viper en een cluster dat door Kaspersky Operation Parliament wordt genoemd.
De afgelopen maanden is het vijandige collectief in verband gebracht met een reeks aanvallen die geïmproviseerde varianten van zijn Micropsia- en Arid Gopher-implantaten opleveren, evenals een nieuwe downloader voor initiële toegang genaamd IronWind.
Er is gebleken dat de nieuwste reeks inbraken van Gaza Cyber Gang gebruik maakt van Pierogi++ en Micropsia. Het eerste geregistreerde gebruik van Pierogi++ dateert van eind 2022.
Aanvalsketens worden gekenmerkt door het gebruik van lokdocumenten die in het Arabisch of Engels zijn geschreven en die betrekking hebben op zaken die van belang zijn voor de Palestijnen om de achterdeurtjes te bemachtigen.
Cybereason, dat in februari 2020 licht wierp op Pierogi, beschreef het als een implantaat waarmee aanvallers gerichte slachtoffers kunnen bespioneren en dat de ‘commando’s die worden gebruikt om met de [command-and-control] servers en andere strings in het binaire bestand zijn in het Oekraïens geschreven.”
“De achterdeur is mogelijk verkregen in ondergrondse gemeenschappen in plaats van in eigen land”, oordeelde het destijds.
Zowel Pierogi als Pierogi++ zijn uitgerust om schermafbeeldingen te maken, opdrachten uit te voeren en door de aanvaller verstrekte bestanden te downloaden. Een ander opmerkelijk aspect is dat de bijgewerkte artefacten niet langer Oekraïense strings in de code bevatten.
Het onderzoek van SentinelOne naar de operaties van de Gaza Cyber Gang heeft ook tactische verbindingen opgeleverd tussen twee uiteenlopende campagnes die Big Bang en Operatie Bearded Barbie worden genoemd, naast het versterken van de banden tussen de bedreigingsacteur en WIRTE, zoals eerder onthuld door Kaspersky in november 2021.
Ondanks de aanhoudende focus op Palestina onderstreept de ontdekking van Pierogi++ dat de groep doorgaat met het verfijnen en herstructureren van zijn malware om een succesvolle compromittering van doelen te garanderen en persistente toegang tot hun netwerken te behouden.
“De waargenomen overlappingen in targeting en malware-overeenkomsten tussen de Gaza Cybergang-subgroepen na 2018 suggereren dat de groep waarschijnlijk een consolidatieproces heeft ondergaan”, aldus Milenkoski.
“Dit omvat mogelijk de vorming van een interne hub voor de ontwikkeling en het onderhoud van malware en/of het stroomlijnen van het aanbod van externe leveranciers.”
